Microsoft Solutions Partner|Modern Work · Azure · Security · Business Apps
contato@rhcsolutions.com.br·+55 (11) 3664-6710
Segurança

Design de politicas de Acesso Condicional no Entra

Guia para desenhar politicas de Acesso Condicional no Microsoft Entra: personas, sinais, modo somente relatorio e boas praticas.

·9 min
Microsoft Defender
72%
Secure Score
Alertas recentes
Login suspeito bloqueado
MFA pendente · 2 usuários
Endpoints protegidos

O que e Acesso Condicional

O Acesso Condicional e o motor de decisao do Microsoft Entra ID. Ele funciona como uma serie de instrucoes se-entao: se um conjunto de condicoes for atendido, entao exija um controle ou bloqueie o acesso. E o mecanismo que transforma sinais brutos de identidade, dispositivo e risco em decisoes de acesso aplicaveis.

Cada politica combina tres partes:

  • Atribuicoes: quem (usuarios e grupos), o que (aplicativos), e sob quais condicoes (localizacao, plataforma, risco).
  • Controles de concessao: exigir MFA, exigir dispositivo em conformidade, exigir aplicativo aprovado, ou bloquear.
  • Controles de sessao: limitar frequencia de login, restringir download ou aplicar acesso somente pelo navegador.

Pense em personas, nao em usuarios isolados

Politicas individuais para cada situacao viram um emaranhado impossivel de manter. A abordagem recomendada e desenhar em torno de personas de acesso: administradores, trabalhadores internos, trabalhadores externos, contas de servico, convidados e usuarios de dispositivos nao gerenciados.

Para cada persona, defina uma linha de base clara:

Persona Controle tipico
Administradores MFA resistente a phishing + dispositivo em conformidade
Funcionarios internos MFA + dispositivo gerenciado
Convidados MFA + termos de uso
Contas de servico Localizacoes confiaveis + acesso restrito
Dispositivos nao gerenciados Somente navegador, sem download

Estrutura de politicas recomendada

Em vez de dezenas de politicas sobrepostas, mantenha um conjunto enxuto e nomeado de forma consistente. Uma estrutura comum inclui:

  1. Bloquear autenticacao legada para todos. Esse e o ponto de partida nao negociavel.
  2. Exigir MFA para administradores, com metodos resistentes a phishing.
  3. Exigir MFA para todos os usuarios em aplicativos de nuvem.
  4. Exigir dispositivo em conformidade para acessar dados sensiveis.
  5. Politicas baseadas em risco que respondem a risco de login e de usuario.
  6. Controles de sessao para dispositivos nao gerenciados.

Adote uma convencao de nomenclatura previsivel, algo como persona, plataforma, controle e proposito, para que qualquer analista entenda a intencao da politica em segundos.

Sempre comece em modo somente relatorio

O maior risco ao implantar Acesso Condicional e trancar usuarios legitimos para fora. Por isso, toda nova politica deve nascer em modo somente relatorio. Nesse modo, o Entra avalia a politica e registra o que teria acontecido, sem aplicar o controle.

O fluxo seguro de implantacao e:

  1. Criar a politica em modo somente relatorio.
  2. Analisar os resultados no log de login por alguns dias.
  3. Ajustar exclusoes e condicoes conforme necessario.
  4. Ativar a politica em uma janela controlada.
  5. Monitorar de perto as primeiras horas.

Exclusoes que voce nao pode esquecer

Algumas exclusoes sao criticas para nao se prender para fora do proprio ambiente:

  • Contas break-glass: pelo menos duas contas de emergencia excluidas de todas as politicas, com senhas longas e armazenadas com seguranca.
  • Contas de sincronizacao de diretorio, quando aplicavel.
  • Contas de servico que nao suportam MFA interativo, migradas idealmente para identidades gerenciadas.

Monitore essas contas excluidas com alertas dedicados, pois elas representam o maior risco residual.

Erros frequentes

  • Criar politicas conflitantes que se anulam ou bloqueiam involuntariamente.
  • Aplicar controles de dispositivo antes de ter o parque gerenciado pelo Intune.
  • Esquecer plataformas moveis ao definir condicoes de plataforma.
  • Nao documentar a intencao de cada politica, o que dificulta auditoria e revisao.

Governanca continua

Acesso Condicional exige manutencao. Estabeleca um ritual de revisao trimestral para validar exclusoes, remover politicas obsoletas e alinhar com novos aplicativos. Exporte a configuracao regularmente para versionamento, de modo que mudancas sejam rastreaveis e reversiveis.

Checklist de design

  • Autenticacao legada bloqueada para todos.
  • Personas de acesso mapeadas com linha de base clara.
  • Toda politica testada em modo somente relatorio antes de ativar.
  • Contas break-glass excluidas e monitoradas.
  • Nomenclatura consistente e intencao documentada.
  • Revisao trimestral de politicas e exclusoes.

A RHC, como Microsoft Solutions Partner, ajuda a desenhar conjuntos de politicas de Acesso Condicional equilibrando seguranca robusta e experiencia de usuario fluida, com implantacao faseada e monitorada.

#Conditional Access#Entra ID#Identity#Zero Trust#Access Control

Perguntas frequentes

Nao existe numero magico, mas conjuntos enxutos organizados por persona sao mais faceis de manter do que dezenas de politicas sobrepostas. O foco deve ser cobertura clara sem conflitos, e nao quantidade.

Pronto para fazer mais com a Microsoft?

Fale com um especialista e descubra como otimizar licenças, segurança e produtividade.